1 poin oleh GN⁺ 2023-09-08 | 1 komentar | Bagikan ke WhatsApp
  • Dalam pemeriksaan iPhone milik seorang staf organisasi masyarakat sipil internasional yang berbasis di Washington DC, ditemukan kerentanan yang sedang aktif dieksploitasi untuk mengirimkan spyware Pegasus dari NSO Group
  • Rantai eksploit yang disebut Citizen Lab sebagai BLASTPASS ini mampu membobol iPhone yang menjalankan iOS 16.6 terbaru tanpa interaksi korban
  • Penyerang mencoba infeksi zero-click dengan mengirim lampiran PassKit berisi gambar berbahaya melalui iMessage, dan Citizen Lab menyatakan akan merilis analisis lanjutan
  • Citizen Lab segera membagikan temuan tersebut kepada Apple, dan Apple menerbitkan CVE-2023-41064 dan CVE-2023-41061 untuk kerentanan terkait
  • Pembaruan Apple berlaku untuk iPhone, iPad, Mac, dan Apple Watch; Citizen Lab serta tim Apple Security Engineering and Architecture menilai Lockdown Mode dapat memblokir serangan ini

Rantai eksploit BLASTPASS

  • Citizen Lab menemukan kerentanan zero-click yang sedang dieksploitasi di dunia nyata saat memeriksa perangkat milik staf sebuah organisasi masyarakat sipil yang berbasis di Washington DC dan memiliki kantor internasional
  • Kerentanan ini digunakan untuk mengirimkan spyware bayaran Pegasus dari NSO Group
  • Citizen Lab menamai rantai eksploit tersebut BLASTPASS
  • BLASTPASS mampu membobol iPhone yang menjalankan iOS 16.6 terbaru tanpa interaksi korban
  • Serangan dilakukan dengan mengirim lampiran PassKit dari akun iMessage penyerang kepada korban
    • Lampiran tersebut berisi gambar berbahaya
    • Dokumen terkait dapat dilihat di PassKit
  • Citizen Lab berencana mempublikasikan pembahasan yang lebih rinci tentang rantai eksploit ini ke depannya

Pengungkapan kepada Apple dan CVE

  • Citizen Lab segera membagikan temuan tersebut kepada Apple dan bekerja sama dalam investigasi Apple
  • Apple menerbitkan dua CVE terkait rantai eksploit ini
    • CVE-2023-41064

      • CVE-2023-41061

Pembaruan segera dan Lockdown Mode

  • Citizen Lab menyarankan semua pengguna untuk segera memperbarui perangkat mereka
  • Apple telah merilis pembaruan untuk produk Apple, termasuk iPhone, iPad, Mac, dan Apple Watch
  • Pengguna yang mungkin menghadapi risiko lebih tinggi karena identitas atau aktivitas mereka disarankan untuk mengaktifkan Lockdown Mode
  • Citizen Lab dan tim Apple Security Engineering and Architecture menilai Lockdown Mode dapat memblokir serangan spesifik ini
  • Citizen Lab menilai positif respons investigasi cepat dan siklus patch Apple, serta mengakui kerja sama dan dukungan korban beserta organisasi tempatnya bernaung

Sinyal keamanan dari penargetan masyarakat sipil

  • Temuan ini kembali menunjukkan bahwa masyarakat sipil menjadi target eksploit canggih dan spyware bayaran
  • Pembaruan Apple akan melindungi perangkat pengguna umum, perusahaan, dan pemerintah di seluruh dunia
  • Penemuan BLASTPASS menyoroti bahwa mendukung organisasi masyarakat sipil memiliki nilai besar bagi keamanan siber kolektif

Riwayat pembaruan

  • Postingan diperbarui pada 7 September pukul 17.42 Waktu Timur
  • Pembaruan tersebut mencerminkan penilaian tim Apple Security Engineering and Architecture dan Citizen Lab bahwa Lockdown Mode dapat memblokir serangan spesifik ini

1 komentar

 
GN⁺ 2023-09-08
Komentar di Hacker News
  • Ada banyak pembahasan tentang Apple dan perangkat lunak, tetapi terlalu sedikit yang membahas mengapa NSO Group bisa tetap ada
    Mereka beroperasi hampir secara terbuka, dan tampaknya tidak malu. Kalau tidak, mereka tidak akan mencantumkannya di CV: https://www.linkedin.com/company/nso-group/people/
    Melihat ini, rasanya “komunitas teknologi” terlalu mudah memaklumi penggunaan teknologi seperti ini. Teknologi yang kita yakini akan “membuat dunia lebih baik” itu

    • Dokumenter PBS tentang NSO dan Pegasus bagus: https://www.pbs.org/wgbh/frontline/documentary/global-spywar...
      NSO tampaknya didukung oleh pemerintah Israel. Mereka bilang hanya menjual ke pemerintah yang sudah disaring sebelumnya, tetapi dalam kenyataannya sering menjual ke negara-negara otoriter yang memantau dan menindas orang-orang yang menentang rezim
    • NSO bilang mereka hanya menargetkan “teroris dan penjahat”, jadi kalau Anda warga yang taat hukum dan tidak punya apa pun untuk disembunyikan, tak perlu khawatir, kan? Tentu tidak ada rezim di dunia yang akan menuduh orang sebagai penjahat atau teroris hanya karena melakukan jurnalisme investigatif atau politik oposisi
    • Menjual malware/senjata perangkat lunak antar badan hukum AS pada umumnya legal, dengan pengecualian besar bahwa jika termasuk regulasi ITAR, maka kecuali open source, hanya boleh dijual ke pemerintah AS atau pemasok yang disetujui ITAR
      Alasan NSO Group buruk adalah karena mereka menjualnya ke rezim represif, dan diduga secara aktif membantu distribusi perangkat lunak agar rezim-rezim itu bisa mencelakai warga sipil tak bersalah. Karena tindakan dan niat seperti ini, serta kegagalan mengelola tanggung jawab, mereka seharusnya dikenai sanksi, dan seingat saya mereka sudah terkena sanksi
      Namun, ada banyak pengecualian, misalnya penjual dan pembeli harus beritikad baik dan berencana menggunakannya hanya sesuai hukum. Ini bukan nasihat hukum
    • Banyak dari hal seperti ini diklasifikasikan sebagai senjata, jadi pada praktiknya lebih mirip dijual oleh pemerintah Israel daripada oleh perusahaan. Ini tidak berbeda dengan MANPADS, yang bisa dipakai untuk menembak jatuh Ka-52 di Ukraina maupun pesawat penumpang sipil, dan arahnya ditentukan oleh kebijakan luar negeri negara pembuat serta kegagalannya
      Tidak ada alasan untuk berharap dunia akan segera melucuti senjata, jadi hal terbaik adalah menyadarinya, memengaruhi kebijakan secara demokratis, sambil menyingkirkan gagasan buruk dan aktor buruk
      Israel terus berusaha menarik Arab Saudi untuk membangun aliansi dalam potensi perang dengan Iran. Demi mendapatkan izin melintasi wilayah udara Saudi, mereka pasti akan mengorbankan beberapa aktivis HAM. Namun belakangan tampaknya keadaan tidak terlalu berpihak pada Israel
    • Ada kesan bahwa “komunitas teknologi” dilihat seperti kelompok kohesif yang punya kapasitas organisasi untuk mengarahkannya ke suatu arah tertentu
      Kenyataannya, komunitas teknologi sangat beragam dan sama sekali tidak kohesif. Misalnya, banyak developer hanya cukup untuk menutup biaya hidup dasar, sehingga bahkan tidak punya ruang mental untuk tahu apa itu NSO
  • Menarik bahwa Lockdown Mode sangat ditekankan agar tidak digunakan kecuali Anda jurnalis atau berada dalam risiko langsung dan jelas. Padahal dari sisi pengguna, perbedaan fiturnya tidak besar, dan pada dasarnya hanya mematikan berbagai hal tidak perlu dari Apple yang berjalan di latar belakang dan memperluas permukaan serangan
    Meski begitu, semua orang mengulang syarat seperti “tidak boleh dipakai sembarang orang, hanya untuk orang khusus”. Padahal ini bukan sumber daya langka dan bukan zero-sum. Justru kalau semua orang memakainya, banyak fitur yang tidak menguntungkan pengguna bisa dimatikan, baterai bisa lebih hemat, dan semakin banyak yang memakai, semakin sulit fitur itu dipakai untuk mengidentifikasi pengguna tertentu

    • iOS memang jadi sedikit kurang nyaman. Misalnya saat saling menambahkan di iMessage, dan performa JavaScript di Safari juga turun banyak
      Apple mungkin ingin menghindari kesan iOS lebih lambat atau lebih berat daripada Android. Selain itu, spyware zero-day biasanya menargetkan orang penting, bukan pengawasan massal, jadi risiko nyata bagi individu memang kecil
      Akan bagus kalau ada mode kompromi di antara dua mode itu. Misalnya bisa menurunkan keamanan selama beberapa menit ketika ada fitur yang dibutuhkan. Contohnya, jika Safari mendeteksi JavaScript lambat, ia bisa bertanya apakah ingin mengaktifkan kembali JIT
    • Kalau mereka tidak ingin orang memakai fitur latar belakang, mereka tidak akan memasukkannya sejak awal. Tidak mengherankan kalau Apple ingin pengguna memakai fitur yang memang sengaja mereka tambahkan, entah itu “tidak berguna” atau tidak
    • Dari sudut pandang kapitalisme, jika tidak ditekankan kuat-kuat, pelanggan baru Apple bisa saja menyalakan Lockdown Mode secara default karena disarankan teman atau keluarga yang khawatir, lalu mengeluh ke Apple atau mengembalikan perangkat karena fitur yang diiklankan tidak berfungsi
      Dari sudut pandang realpolitik, mungkin saja rezim represif mengizinkan Apple merilis perangkat dengan fitur ini dengan syarat tidak mempromosikannya secara aktif atau menjadikannya default. Jika Lockdown Mode aktif secara default di China dan dipakai mayoritas orang, Apple akan segera diusir dari China
    • Di Mac, saya menyalakan Lockdown Mode karena tidak memakai iMessage, FaceTime, atau layanan Apple lainnya. Pada dasarnya itu hanya komputer untuk pengembangan perangkat lunak dan menonton video YouTube
      Saya juga tidak merasakan perbedaan pada konten web, mungkin karena memakai Firefox/Chrome alih-alih Safari. Yang benar-benar saya inginkan adalah opsi. Misalnya di iOS saya memakai album foto bersama, jadi akan bagus kalau fitur itu bisa tetap aktif sementara fitur lainnya dimatikan
    • Ada cukup banyak hal yang jadi aneh saat Lockdown Mode dinyalakan
      Pertama, Continuity tampaknya hampir rusak, padahal secara pribadi saya cukup bergantung pada fitur itu. AirPlay juga menjadi cukup berubah-ubah
      Semua itu bisa saja masalah jaringan, tetapi hanya terjadi setelah saya beralih ke Lockdown Mode. Selain itu, permintaan Screen Time yang tidak berfungsi juga cukup merepotkan
  • Berapa banyak kerentanan yang sudah dimiliki iMessage sejauh ini?
    Bukankah sudah waktunya pesan pertama dari kontak baru hanya mengizinkan teks murni, dan pesan lainnya pun hanya mengizinkan subset yang sangat terbatas, alih-alih sistem ekstensi gila yang tidak jauh berbeda dari ActiveX?
    Selain itu, menjalankan seluruh aplikasi di sandbox, dan sebagai lapisan perlindungan tambahan memproses semuanya lewat webview, juga layak dipertimbangkan

    • Sudah ada preseden yang diterapkan dengan mulus. Klien Apple Mail tidak merender media dari pengirim tak dikenal tanpa konfirmasi pengguna
      iMessage seharusnya melakukan perilaku yang persis sama karena alasan yang sama. Menjengkelkan melihat manajer produk serakah yang bekerja di gedung yang sama harus mempelajari ulang pelajaran yang sudah dipelajari generasi sebelumnya dengan menyakitkan
    • Sulit dipercaya hal seperti ini masih terus berulang. Kalau disebut “zero click”, kita tahu itu salah satu payload kompleks seperti gambar atau font
      Jawabannya tidak boleh berupa “jangan merender gambar”. Komponen yang mem-parsing data eksternal seperti gambar harus bisa dipercaya bahwa apa pun inputnya, ia tidak dapat melakukan tindakan berbahaya
      Kalau perlu sandboxing, lakukan saja; kalau semua parser gambar harus ditulis ulang dari awal dengan bahasa yang aman atau dibuktikan kebenarannya secara formal, lakukan saja. Apple punya uang yang cukup untuk menjalankan program luar angkasanya sendiri sepuluh kali, jadi mereka juga semestinya bisa membuat library gambar yang dapat dibuktikan aman
    • Ini sangat berbeda dari ActiveX. Untuk ActiveX, ratusan exploit beredar bebas di sudut-sudut gelap usenet, dan para script kiddie tipikal dari ruang bawah tanah menyalahgunakannya terhadap komputer di seluruh dunia
      iMessage memiliki sejumlah kecil exploit, dan pihak seperti NSO melisensikannya dengan harga sangat mahal kepada segelintir aktor negara yang buruk untuk dipakai dalam serangan bertarget berisiko sangat tinggi
    • Semua proses di iOS berjalan di sandbox. Karena itulah membuat exploit seperti ini begitu sulit
    • Saya penasaran apakah iMessage benar-benar bisa dimatikan di iPhone. Sekarang saya hanya memakai WhatsApp, dan tidak tertarik pada SMS yang diperkuat
      Ketemu. Untuk yang berminat: di iPhone, buka Settings, ketuk Messages, lalu set iMessage ke Off
  • Lagi-lagi buffer overflow decoding gambar, terdengar mirip dengan kerentanan tahun 2021 [1]
    Waktu itu benar-benar mencengangkan. Mereka membuat CPU dari operasi mentah yang disediakan format kompresi gambar rumit yang tertanam di PDF, lalu melakukan operasi aritmetika yang cukup untuk meningkatkan eksekusi kode arbitrer lebih jauh
    [1]: https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-i...

    • Saya juga teringat bug rendering TIF di iOS 4 yang dulu dipakai jailbreakme.com. Keren sekali waktu menekan tombol di Safari, lalu iPod touch reboot dan Cydia sudah terpasang
    • Jadi saya makin bisa memahami mengapa Chrome belum mengadopsi JPEG-XL
      Jangan salah paham. Saya pikir JPEG-XL adalah ide bagus, tetapi bagi orang-orang yang berkata “apa ruginya mendukung satu format gambar lagi”, inilah jawabannya
    • Lagi-lagi buffer overflow pada decoding gambar. Orang mungkin mengira Apple akan melakukan threat modeling dan menjalankan fuzzing sampai tuntas, tetapi ternyata tidak. Perusahaan dengan kapitalisasi pasar 2,7 triliun dolar tidak mampu melakukan ini
    • Mungkin ini pertanyaan bodoh, tetapi mengapa media decoder yang terkenal berisiko tinggi tidak di-sandbox dengan baik?
    • Saya tidak begitu paham bidang keamanan, tetapi rasanya saya tidak akan pernah melupakan ini. Sangat memikat
  • Perbaikan ini keluar hari ini dan tampaknya diselaraskan waktunya dengan pengumuman, jadi kita perlu memastikan pembaruan sudah diterapkan pada diri sendiri dan orang-orang di sekitar
    https://support.apple.com/en-us/HT201222

    • Menariknya, tidak ada penyebutan hal seperti kerentanan kernel
      Setahu saya semua kode parsing iMessage seharusnya berjalan di dalam sandbox BlastDoor; apakah ada kerentanan rantai lain yang belum dipublikasikan di sini?
    • Saya penasaran mengapa belum ada perbaikan untuk iOS 15. Apakah iOS 15 tidak rentan terhadap serangan ini? Atau apakah backport perbaikan keamanan memang sering terlambat dan saya tidak tahu? Kalau begitu, apakah kita perlu menerapkan workaround untuk mencegah exploit seperti ini?
  • Memasukkan NSO Group ke daftar hitam Departemen Perdagangan jelas belum cukup. Sampah-sampah ini, setidaknya secara metaforis, harus dibawa ke Den Haag

  • Jika penasaran tentang NSO Group, Pegasus, dan Citizen Lab, episode 100 podcast Darknet Diaries memberikan rangkuman sejarah yang bagus

  • Kita butuh Lockdown Mode yang lebih granular. Misalnya mematikan otomatisasi dan faktor risiko di iMessage dan Safari, tetapi tetap membuat aksesori perangkat berfungsi
    Tidak bagus jika sampai kehilangan aksesori Bluetooth hanya untuk melindungi diri dari exploit zero-click iMessage. iMessage adalah permukaan serangan yang paling terbuka

    • iMessage juga merupakan bagian besar dari moat Apple. Kecil kemungkinan Apple mengizinkan aplikasi pesan alternatif untuk gelembung hijau yang mungkin lebih aman
    • Di Settings sebenarnya sudah ada pengaturan untuk “menyesuaikan Lockdown Mode” sesuai selera
      Misalnya Settings > Messages > iMessage adalah sakelar yang bisa dimatikan jika merasa iMessage adalah masalahnya
      Di Settings > Safari > Privacy and security juga ada beberapa pengaturan untuk mengonfigurasi penguncian yang lebih granular terhadap Safari
  • Penasaran apakah Lockdown Mode bisa mencegah serangan ini
    Sejauh ini, apakah pernah ada iPhone dalam kondisi Lockdown Mode yang diretas melalui kerentanan zero-day? Kecuali kasus ketika pengguna ditipu untuk memasang program berbahaya

  • Thread terkait yang sedang berlangsung:
    iOS 16.6.1 fixes two vulnerabilities known to be actively exploited in the wild - https://news.ycombinator.com/item?id=37423506 - September 2023, 7 komentar